抓包的端口号

抓包的端口号

1. “你可以把她用的端口mirror到你的端口,然后用wireshark来抓包”怎

这种方式通常如下操作：

将你的网络接口和他的接在一个Hub上。记得是Hub而不是交换机。

其次使用三层交换机中的Mirror的功能，假定他的电脑的网络所在三层交换机上某个接口上，

将这个接口上的数据Mirror 到指定的你的网络所在接口上。即可。

当然，第三种办法通常是网络应用，使用网关的产品来直接定位他的数据即可。

即让你的机器充当通明网关，或者是网关。比如你的两个网卡，一个接外部，一个接内部。然后wireshark来抓包来自于指定机器上Mac的包。

2. 怎样看wireshark抓包的数据

启动wireshark后，选择工具栏中的快捷键（红色标记的按钮）即可Start a new live capture。

主界面上也有一个interface list（如下图红色标记1），列出了系统中安装的网卡，选择其中一个可以接收数据的的网卡也可以开始抓包。在启动时候也许会遇到这样的问题：弹出一个对话框说 NPF driver 没有启动，无法抓包。

在win7或Vista下找到C: \system\system32下的cmd.exe 以管理员身份运行，然后输入 net start npf，启动NPf服务。重新启动wireshark就可以抓包了。

抓包之前也可以做一些设置，如上红色图标记2，点击后进入设置对话框，具体设置如下：Interface：指定在哪个接口（网卡）上抓包（系统会自动选择一块网卡）。Limit each packet：限制每个包的大小，缺省情况不限制。

Capture packets in promiscuous mode：是否打开混杂模式。如果打开，抓 取所有的数据包。

一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。Filter：过滤器。

只抓取满足过滤规则的包。File：可输入文件名称将抓到的包写到指定的文件中。

Use ring buffer： 是否使用循环缓冲。缺省情况下不使用，即一直抓包。

循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷。

Update list of packets in real time：如果复选框被选中，可以使每个数据包在被截获时就实时显示出来，而不是在嗅探过程结束之后才显示所有截获的数据包。单击“OK”按钮开始抓包，系统显示出接收的不同数据包的统计信息，单击“Stop”按钮停止抓包后，所抓包的分析结果显示在面板中，如下图所示：为了使抓取的包更有针对性，在抓包之前，开启了QQ的视频聊天，因为QQ视频所使用的是UDP协议，所以抓取的包大部分是采用UDP协议的包。

3、对抓包结果的说明 wireshark的抓包结果整个窗口被分成三部分：最上面为数据包列表，用来显示截获的每个数据包的总结性信息；中间为协议树，用来显示选定的数据包所属的协议信息；最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。使用wireshark可以很方便地对截获的数据包进行分析，包括该数据包的源地址、目的地址、所属协议等。

上图的数据包列表中，第一列是编号（如第1个包），第二列是截取时间（0.000000），第三列source是源地址（115.155.39.93），第四列destination是目的地址（115.155.39.112），第五列protocol是这个包使用的协议（这里是UDP协议），第六列info是一些其它的信息，包括源端口号和目的端口号（源端口：58459，目的端口：54062）。中间的是协议树，如下图：通过此协议树可以得到被截获数据包的更多信息，如主机的MAC地址（Ethernet II）、IP地址（Internet protocol）、UDP端口号（user datagram protocol）以及UDP协议的具体内容（data）。

最下面是以十六进制显示的数据包的具体内容，如图：这是被截获的数据包在物理媒体上传输时的最终形式，当在协议树中选中某行时，与其对应的十六进制代码同样会被选中，这样就可以很方便的对各种协议的数据包进行分析。4、验证网络字节序 网络上的数据流是字节流，对于一个多字节数值（比如十进制1014 = 0x03 f6），在进行网络传输的时候，先传递哪个字节，即先传递高位“03”还是先传递低位“f6”。

也就是说，当接收端收到第一个字节的时候，它是将这个字节作为高位还是低位来处理。下面通过截图具体说明：最下面是物理媒体上传输的字节流的最终形式，都是16进制表示，发送时按顺序先发送00 23 54 c3 …00 03 f6 …接收时也按此顺序接收字节。

选中total length:1014， 它的十六进制表示是0x03f6， 从下面的蓝色选中区域可以看到，03在前面，f6在后面，即高字节数据在低地址，低字节数据在高地址（图中地址从上到下从左到右依次递增），所以可知，网络字节序采用的是大端模式。

3. 如何知道程序使用的端口号范围

用sniffer

Sniffer，中文可以翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。Sniffer技术常常被黑客们用来截获用户的口令，据说某个骨干网络的路由器网段曾经被黑客攻入，并嗅探到大量的用户口令。但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。

楼主可以自己去下载一些sniffer用，专门用来抓包的，分析协议都靠sniffer,UDP,TCP/IP,ICMP,IGMP等等的

Charles实现App抓包的配置方法

【前言】

本人使用win10操作系统，Charles版本是V4.2.5，当然你可以使用其他系统和Charles版本这里没有硬性规定

【重要步骤】

Charles安装省略，启动应用。

第一步：

设置端口号默认是8888，Proxy->Proxy Settings

第二步：

重点是设置证书 Help->SSL Proxying->Install Charles Root Certificate

如果我们选择错了怎么办？在Win10的底部搜索里填写“管理用户证书”我们搜索“Charles” 然后删除所有证书重新安装。

第三步：

给手机安装证书，设置手机无线代理，设置方法可以参考我之前的“Fiddler实现App抓包的配置方法”。打开手机自带的浏览器，输入 chls.pro/ssl 不知道的也可以参考这个菜单。

下载后配置证书也参考“Fiddler实现App抓包的配置方法”这里就不在重复了。配置完就可以抓包了。